[发明专利]一种针对基于Xen的Linux虚拟机恶意代码攻击的隐藏进程检测方法

权利要求书

1.一种针对基于Xen的Linux虚拟机恶意代码攻击的隐藏进程检测方法，其特征在于：所述的方法包括以下步骤：

步骤1：将恶意代码检测工具部署在Xen系统的DomainO中；

步骤2：启动Linux虚拟机；

步骤3：每隔一段时间，检测工具使用Xen的虚拟机管理器的DomainU访问接口层获取Linux虚拟机中的硬件资源信息。通过这些信息构造出进程列表p1；

步骤4：通过调用Linux虚拟机操作系统内的工具，得到进程列表p2；

步骤5：对比p1与p2中的每一个进程，如果进程P出现在p1中，而未出现在p2中，则说明P为隐藏进程；如果P出现在两个进程中，则说明系统是安全的，跳转到步骤3。

2.根据权利要求1所述的Linux虚拟机恶意代码攻击的隐藏进程检测方法，其特征在于：所述硬件资源指的是CPU、伪物理内存的数据信息；

所述的启动Linux虚拟机指的是启动Linux虚拟机的操作系统。

3.根据权利要求1所述的Linux虚拟机恶意代码攻击的隐藏进程检测方法，其特征在于：所述的DomainU访问接口层指的是C语言库libxc提供的两个接口xc_vcpu_getcontext及xc_map_foreign_range，通过这两个接口，可以实现在DomainO中访问特定虚拟机DomainU中虚拟CPU和伪物理内存。

4.根据权利要求2所述的Linux虚拟机恶意代码攻击的隐藏进程检测方法，其特征在于：所述的DomainU访问接口层指的是C语言库libxc提供的两个接口xc_vcpu_getcontext及xc_map_foreign_range，通过这两个接口，可以实现在DomainO中访问特定虚拟机DomainU中虚拟CPU和伪物理内存。

5.根据权利要求1至4任一项所述的Linux虚拟机恶意代码攻击的隐藏进程检测方法，其特征在于：所述调用Linux虚拟机操作系统内的工具指的是使用系统调用的手段调用Linux操作系统内安装的进程信息打印工具并获取打印信息，如调用ps命令。

6.根据权利要求1至4任一项所述的Linux虚拟机恶意代码攻击的隐藏进程检测方法，其特征在于：所述对比进程指的是对比进程的ID和进程的名称，如果进程P的ID和名称与进程P′的ID和名称一致，那么说明P和P′是同一个进程。

7.根据权利要求5所述的Linux虚拟机恶意代码攻击的隐藏进程检测方法，其特征在于：所述对比进程指的是对比进程的ID和进程的名称，如果进程P的ID和名称与进程P′的ID和名称一致，那么说明P和P′是同一个进程。